Описание событий безопасности в Windows Vista и Windows Server 2008

Переводы статьи Переводы статьи
Код статьи: 947226 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Данная статья содержит различные события безопасности и аудита безопасности, в Windows Vista и Windows Server 2008. Статья также содержит сведения о том, как интерпретировать эти события. Все эти события в журнале безопасности и выполнен с источником «-аудит безопасности.» В этой статье также описывается, как получить более описательные данные об отдельных событиях.

Дополнительная информация

В этом разделе перечислены все события связанные с аудита безопасности Windows Vista, категории и подкатегории.

Категория: Учетной записи входа

Подкатегория: Проверка учетных данных

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4774Было сопоставлено учетной записи для входа в систему.
4775Не удалось сопоставить учетную запись для входа в систему.
4776Попытка проверить учетные данные для учетной записи контроллера домена.
4777Не удалось проверить учетные данные для учетной записи контроллера домена.

Подкатегории: Служба проверки подлинности Kerberos

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4768Запрошен билет проверки подлинности Kerberos (TGT).
4771Ошибка предварительной проверки подлинности Kerberos.
4772Ошибка запроса билета проверки подлинности Kerberos.

Подкатегории: Операции билета службы Kerberos

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4769Билет службы Kerberos был запрошен.
4770Билет службы Kerberos был обновлен.
4773Не удалось выполнить запрос билета службы Kerberos.

Категория: Управление учетными записями

Подкатегории: Управление группой приложений

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4783Основная группа приложения был создан.
4784Основная группа приложения был изменен.
4785Член добавлен к основной группе приложения.
4786Член удален из группы основных приложений.
4787Не член добавлен к основной группе приложения.
4788Не член удален из группы основных приложений.
4789Основная группа приложения был удален.
4790Группы запросов LDAP был создан.
4791Основная группа приложения был изменен.
4792 УтилитаГруппы запросов LDAP, была удалена.

Подкатегории: Управление учетной записью компьютера

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4741Создана учетная запись компьютера.
4742Изменена учетная запись компьютера.
4743Удалена учетная запись компьютера.

Подкатегории: Управление группой распространения

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4744Создана локальная группа с отключенной проверкой безопасности.
4745Изменена локальная группа с отключенной проверкой безопасности.
4746Член добавлен в локальную группу с отключенной проверкой безопасности.
4747Член удален из локальной группы с отключенной проверкой безопасности.
4748Удалена локальная группа с отключенной проверкой безопасности.
4749Создана глобальная группа с отключенной проверкой безопасности.
4750Изменена глобальная группа с отключенной проверкой безопасности.
4751Член добавлен к глобальной группы с отключенной проверкой безопасности.
4752Член удален из глобальной группы с отключенной проверкой безопасности.
4753Удалена глобальная группа с отключенной проверкой безопасности.
4759Создана универсальная группа с отключенной проверкой безопасности.
4760Изменена универсальная группа с отключенной проверкой безопасности.
4761Член добавлен к универсальной группы с отключенной проверкой безопасности.
4762Член удален из универсальной группы с отключенной проверкой безопасности.

Подкатегория: Другие события управления учетными записями

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4739Изменена политика домена.
4782Получен хэш пароля учетной записи.
4793Недопустимый вызов API проверки политики пароля.

Подкатегории: Управление группой безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4727Создана глобальная группа с включенной безопасностью.
4728Член добавлен к глобальной группы с включенной безопасностью.
4729Член удален из глобальной группы с включенной безопасностью.
4730Удалена глобальная группа с включенной безопасностью.
4731Создана локальная группа с включенной безопасностью.
4732Член добавлен к локальной группы с включенной безопасностью.
4733Член удален из локальной группы с включенной безопасностью.
4734Удалена локальная группа с включенной безопасностью.
4735Изменена локальная группа с включенной безопасностью.
4737Изменена глобальная группа с включенной безопасностью.
4754Создана универсальная группа с проверкой безопасности.
4755Изменена универсальная группа с проверкой безопасности.
4756Член добавлен к универсальной группы с включенной безопасностью.
4757Член удален из универсальной группы с включенной безопасностью.
4758Удалена универсальная группа с проверкой безопасности.
4764Изменен тип группы.

Подкатегории: Управление учетными записями пользователей

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4720Учетная запись пользователя была создана.
4722Учетная запись пользователя была включена.
4723Предпринята попытка изменить пароль учетной записи.
4724Предпринята попытка сбросить пароль пользователя.
4725Учетная запись пользователя была отключена.
4726Учетная запись пользователя была удалена.
4738Изменена учетная запись пользователя.
4740Учетная запись пользователя заблокирована.
4765Журнал SID был добавлен к учетной записи.
4766Ошибка при попытке добавления журнала SID для учетной записи.
4767Учетная запись пользователя была разблокирована.
4780Список управления Доступом был установлен на учетные записи, которые являются членами группы Администраторы.
4781Было изменено имя учетной записи:
4794Предпринята попытка задать режим восстановления служб каталогов.
5376Диспетчер учетных данных учетные данные были заархивированы.
5377Диспетчер учетных данных учетные данные были восстановлены из резервной копии.

Категория: Подробное отслеживание

Подкатегории: Активность DPAPI

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4692Попытка выполнить резервное копирование главного ключа защиты данных.
4693Предпринята попытка восстановления основной ключ защиты данных.
4694Предпринята попытка защиты проверяемых защищенных данных.
4695Предпринята попытка unprotection проверяемых защищенных данных.

Подкатегории: Создание процесса

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4688Был создан новый процесс.
4696Основной маркер был назначен для обработки.

Подкатегории: Завершение процесса

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4689Процесс завершен.

Подкатегории: События RPC

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
5712Попытка выполнения удаленного вызова процедур (RPC).

Категория: Доступ к службе Каталогов

Подкатегория: Подробная репликация службы каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4928Было установлено Active Directory реплики исходного контекста именования.
4929Active Directory реплики исходного контекста именования был удален.
4930Изменения службы каталогов Active Directory реплики исходного контекста именования.
4931Изменения службы каталогов Active Directory реплики назначения контекста именования.
4934Атрибуты объекта Active Directory были реплицированы.
4935Начинается сбой репликации.
4936Сбой репликации заканчивается.
4937Устаревшие объект был удален из реплики.

Подкатегория: Доступ к службе каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4662Операция была выполнена для объекта.

Подкатегории: Изменения в службе каталога

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
5136Измененный объект службы каталогов.
5137Был создан объект службы каталогов.
5138Объект службы каталогов был возращен после удаления.
5139Объект службы каталогов была перемещена.

Примечание Следующее событие в подкатегории изменения службы каталога доступен только в Пакет обновления 1 для Windows Vista и Windows Server 2008.
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
5141Объект службы каталогов была удалена.

Подкатегория: Репликация службы каталогов

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4932Начала синхронизации реплики контекста именования Active Directory.
4933Синхронизация реплики контекста именования Active Directory завершен.

Категория: Вход/выход

Подкатегории: Расширенный режим IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4978Во время согласования расширенного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
4979Сопоставления безопасности основного режима IPsec и расширенного режима были установлены.
4980Сопоставления безопасности основного режима IPsec и расширенного режима были установлены.
4981Сопоставления безопасности основного режима IPsec и расширенного режима были установлены.
4982Сопоставления безопасности основного режима IPsec и расширенного режима были установлены.
4983Сбой согласования расширенного режима IPsec. Соответствующее сопоставление безопасности основного режима был удален.
4984Сбой согласования расширенного режима IPsec. Соответствующее сопоставление безопасности основного режима был удален.

Подкатегория: IPsec основного режима

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4646Запущен режим DoS Предотвращение IKE.
4650Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не включен. Сертификат проверки подлинности не используется.
4651Было установлено сопоставление безопасности основного режима IPsec. Расширенный режим не включен. Сертификат был использован для проверки подлинности.
4652Ошибка при согласовании основного режима IPsec.
4653Ошибка при согласовании основного режима IPsec.
4655Сопоставления безопасности основного режима IPsec завершена.
4976Во время согласования основного режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5049Сопоставление безопасности IPsec была удалена.
5453Сбой при согласовании IPsec с удаленного компьютера: не запущена служба IKE и модули ключей IPsec с проверкой подлинности (IKEEXT).

Подкатегория: Режим быстрого IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4654Сбой согласования быстрого режима IPsec.
4977Во время согласования быстрого режима IPsec получил недопустимый согласования пакет. Если ошибка повторится, может означать проблемы сети или при попытке изменить или воспроизвести это согласование.
5451Было установлено сопоставление безопасности быстрого режима IPsec.
5452Завершения сопоставления безопасности быстрого режима IPsec.

Подкатегория: выход из системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4634Учетной записью выполнен выход.
4647Пользователь инициировал выхода из системы.

Подкатегория: вход в систему

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4624Учетная запись успешно вошел.
4625Не удалось войти в систему с такой учетной записью.
4648Попытка входа в систему, используя явные учетные данные.
4675ИД безопасности были отфильтрованы.
Примечание Все события в подкатегории сервер политики сети доступны только в Пакет обновления 1 для Windows Vista и Windows Server 2008.

Подкатегории: Сервер политики сети

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
6272Сервер политики сети пользователю предоставлен доступ.
6273Сервер политики сети запрещен доступ пользователю.
6274Сервер политики сети отменены запроса от пользователя.
6275Сервер политики сети Отклонено запросов учета для пользователя.
6276Сервер политики сети на карантин пользователя.
6277Сервер политики сети доступ пользователю, но поместить его на испытании, так как узел не отвечал всем требованиям политики работоспособности, установленным.
6278Сервер политики сети предоставляется полный доступ для пользователя, поскольку узел политики работоспособности, установленным.
6279Сервера сетевой политики блокировки учетной записи пользователя из-за повторяющихся неудачных попыток проверки подлинности.
6280Сервер политики сети разблокировать учетную запись пользователя.

Подкатегория: Другие события входа и выхода

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4649Обнаружен атаки с повторением пакетов.
4778Сеанс был подключен к рабочей станции.
4779Сеанс был отключен с рабочей станции.
4800Рабочая станция была заблокирована.
4801Рабочая станция была разблокирована.
4802Заставка был вызван.
4803Закрытия экранной заставки.
5378Запрошенные учетные данные делегирование запрещено политикой.
5632Был сделан запрос для проверки подлинности в беспроводной сети.
5633Был сделан запрос для проверки подлинности к проводной сети.

Подкатегория: Специальный вход

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4964Специальные группы были назначены для нового сеанса входа.

Категория: Доступ к объекту

Подкатегории: Создано приложением

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4665Предпринята попытка создать контекст клиентских приложений.
4666Приложение попытка выполнить операцию:
4667Контекст клиента приложения была удалена.
4668Приложения был инициализирован.

Подкатегории: Службы сертификации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4868Менеджер сертификатов запретил ожидающего запроса сертификата.
4869Службы сертификатов получили запрос сертификата resubmitted.
4870Службы сертификации отозвали сертификат.
4871Службы сертификатов получили запрос для публикации списка отзыва сертификатов (CRL).
4872Службы сертификации публикации списка отзыва сертификатов (CRL).
4873Изменить расширение запроса сертификата.
4874Изменен один или несколько атрибутов запроса сертификата.
4875Службы сертификатов получили запрос на завершение работы.
4876Начато резервное копирование сертификата службы.
4877Завершена архивация служб сертификатов.
4878Начато восстановление служб сертификатов.
4879Завершено восстановление служб сертификатов.
4880Запустить службы сертификации.
4881Остановить службы сертификации.
4882Изменение разрешений безопасности для служб сертификации.
4883Службы сертификации получить архивированного ключа.
4884Службы сертификации импортировать сертификат в базу данных.
4885Изменить фильтр аудита для служб сертификации.
4886Службы сертификатов получили запрос сертификата.
4887Службы сертификации запроса на сертификат одобрен и выдан сертификат.
4888Службы сертификации отклонили запрос сертификата.
4889Службы сертификации установить состояние запроса на сертификат на ожидание.
4890Изменить параметры диспетчера сертификатов для служб сертификации.
4891Запись конфигурации из состава служб сертификации.
4892Изменение свойства служб сертификации.
4893Службы сертификации архивации ключа.
4894Службы сертификации импортируется и архивировать ключ.
4895Службы сертификации опубликован сертификат ЦС для доменных служб Active Directory.
4896Одна или несколько строк были удалены из базы данных сертификатов.
4897Разделение ролей включено:
4898Службы сертификации загрузить шаблон.
4899Шаблон службы сертификации был обновлен.
4900Шаблон безопасности для служб сертификации был обновлен.
5120Запустить службу сетевого ответчика OCSP.
5121Служба сетевого ответчика OCSP остановлена.
5122Запись конфигурации, изменения в службе сетевого ответчика OCSP.
5123Запись конфигурации, изменения в службе сетевого ответчика OCSP.
5124Параметр безопасности были обновлены для службы сетевого ответчика OCSP.
5125Чтобы служба сетевого ответчика OCSP передан запрос.
5126Сертификат подписи автоматически обновляется, служба сетевого ответчика OCSP.
5127Поставщик отзыва OCSP успешно обновлены сведения об отзыве.

Подкатегория: Файловый ресурс общего доступа

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
5140Обращения к объекту общего ресурса сети.

Подкатегория: Файловая система

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4664Предпринята попытка создать жесткую связь.
4985Изменилось состояние транзакции.
5051Файл был виртуальным.

Подкатегория: Подключение платформы фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
5031Служба брандмауэра Windows заблокировал приложения принимать входящие подключения по сети.
5154Платформа фильтрации Windows разрешает приложением или службой для прослушивания порта для входящих подключений.
5155Платформа фильтрации Windows блокирует приложение или служба прослушивать порт для входящих подключений.
5156Разрешил подключение платформы фильтрации Windows.
5157Платформа фильтрации Windows блокирует подключение.
5158Платформа фильтрации Windows разрешает привязку к локальному порту.
5159Платформа фильтрации Windows блокирует привязка к локальному порту.

Подкатегория: Отбрасывание пакета платформой фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
5152Платформа фильтрации Windows заблокировал пакет.
5153Более строгий фильтр платформы фильтрации Windows заблокировал пакет.

Подкатегория: Дескриптор манипуляции

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4656Дескриптор объекта был запрошен.
4658Дескриптор объекта закрыт.
4690Предпринята попытка дублирование дескриптора объекта.

Подкатегория: Другие события доступа к объектам

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4671Приложение обратилось к заблокированных порядковый номер через TBS.
4691Косвенный доступ к объекту было запрошено.
4698Запланированное задание было создано.
4699Запланированная задача удалена.
4700Запланированная задача была включена.
4701Запланированная задача была отключена.
4702Запланированная задача была обновлена.
5888Изменения объекта в каталоге COM +.
5889Объект был удален из каталога COM +.
5890Объект был добавлен в каталог COM +.

Подкатегория: реестра

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4657Значение реестра было изменено.
5039Раздел реестра был виртуальным.

Подкатегории: Специальные подкатегории многоразового использования

Примечание Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы. Подкатегории «Объект ядра: объект доступа» и «SAM: объект доступа» являются примерами подкатегорий, которые исключительно с помощью этих событий.
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4659Дескриптор объекта была запрошена с таким расчетом, чтобы удалить.
4660Объект был удален.
4661Дескриптор объекта был запрошен.
4663Предпринята попытка получить доступ к объекту.

Категория: Изменение политики

Подкатегории: Изменение политики аудита

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4715Изменена политика аудита (SACL) объекта.
4719Изменена политика аудита системы.
4902Была создана таблица политики аудита отдельного пользователя.
4904Предпринята попытка зарегистрировать источник событий безопасности.
4905Предпринята попытка удалить регистрацию источника событий безопасности.
4906Значение CrashOnAuditFail изменилось.
4907Были изменены параметры аудита для объекта.
4908Изменения специальной таблицы группы входа в систему.
4912Изменения в политике аудита.

Подкатегории: Изменение политики проверки подлинности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4706Новое доверие было создано в домен.
4707Доверие к домену был удален.
4713 гИзменена политика Kerberos.
4716Сведения о доверенном домене была изменена.
4717Учетной записи предоставлен доступ к системе безопасности.
4718Доступ к системе безопасности был удален из учетной записи.
4864Обнаружен конфликт имен.
4865Была добавлена запись сведений доверенного леса.
4866Запись сведений доверенного леса была удалена.
4867Запись сведений доверенного леса была изменена.

Подкатегории: Изменение политики авторизации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4704Назначено право пользователя.
4705Права пользователя была удалена.
4714Изменена политика восстановления зашифрованных данных.

Подкатегории: Изменение политики платформы фильтрации

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4709Запуска службы IPsec.
4710Службы IPsec была отключена.
4711Может содержать один из следующих:
  • Модуль PAStore Engine применил локально кэшированную копию политику IPsec из хранилища Active Directory на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища Active Directory на компьютере.
  • Модуль PAStore Engine применил политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить локально кэшированную копию политику IPsec из хранилища Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища Active Directory на компьютере.
  • Модулю PAStore Engine не удалось применить политику IPsec из хранилища локального реестра на компьютере.
  • Модулю PAStore Engine не удалось применить некоторые правила активной политики IPsec на компьютере.
  • Модулю PAStore Engine не удалось загрузить каталог хранилища политики IPsec на компьютере.
  • Модуль PAStore Engine загрузил политику IPsec на компьютере хранилища каталога.
  • Модулю PAStore Engine не удалось загрузить политику IPsec на компьютере локального хранилища.
  • Модуль PAStore Engine загрузил локального хранилища политики IPsec на компьютере.
  • Модулю PAStore Engine обратился за изменениями действующей политики IPsec и обнаружил никаких изменений.
4712Службы IPsec обнаружил потенциально опасный сбой.
5040Изменение было внесено для настройки IPsec. Проверка подлинности, значение было добавлено.
5041Изменение было внесено для настройки IPsec. Проверка подлинности, значение было изменено.
5042Изменение было внесено для настройки IPsec. Проверка подлинности, значение было удалено.
5043Изменение было внесено для настройки IPsec. Добавлено правило безопасности подключения.
5044Изменение было внесено для настройки IPsec. Изменения правила безопасности подключения.
5045Изменение было внесено для настройки IPsec. Правило безопасности подключения был удален.
5046Изменение было внесено для настройки IPsec. Добавлен набора шифрования.
5047Изменение было внесено для настройки IPsec. Изменения набора шифрования.
5048Изменение было внесено для настройки IPsec. Набора шифрования была удалена.
5440Следующие выноски присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5441Следующий фильтр присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5442Следующая служба присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5443Следующий контекст поставщика присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5444Следующие sub-layer присутствовало при запуске Windows фильтрации платформы базовый механизм фильтрации.
5446Выноска платформы фильтрации Windows была изменена.
5448Поставщик платформы фильтрации Windows была изменена.
5449Контекст поставщика платформы фильтрации Windows была изменена.
5450Sub-layer платформы фильтрации Windows была изменена.
5456Модуль PAStore Engine применил политику IPsec из хранилища Active Directory на компьютере.
5457Модулю PAStore Engine не удалось применить политику IPsec из хранилища Active Directory на компьютере.
5458Модуль PAStore Engine применил локально кэшированную копию политику IPsec из хранилища Active Directory на компьютере.
5459Модулю PAStore Engine не удалось применить локально кэшированную копию политику IPsec из хранилища Active Directory на компьютере.
5460Модуль PAStore Engine применил политику IPsec из хранилища локального реестра на компьютере.
5461Модулю PAStore Engine не удалось применить политику IPsec из хранилища локального реестра на компьютере.
5462Модулю PAStore Engine не удалось применить некоторые правила активной политики IPsec на компьютере. С помощью оснастки «Монитор IP-безопасности» в диагностике неполадки.
5463Модулю PAStore Engine обратился за изменениями действующей политики IPsec и обнаружил никаких изменений.
5464Модулю PAStore Engine обратился за изменениями действующей политики IPsec, обнаружены изменения и их применения для службы IPsec.
5465Модуль PAStore получил управление для принудительной перезагрузки политики IPsec и успешно.
5466Модулю PAStore Engine обратился за политики IPsec, обнаружено, что не удается связаться с Active Directory и вместо него будет использовать кэшированную копию политики IPsec. Любые изменения политики IPsec с момента последнего опроса не может быть применена.
5467Модулю PAStore Engine обратился за политики IPsec, обнаружено, что Active Directory может быть достигнуто и найти никаких изменений в политику. Больше не используется кэшированная копия политики IPsec.
5468Модулю PAStore Engine обратился за политики IPsec, обнаружено, что Active Directory могут быть достигнуты, найдены изменения в политику и применить эти изменения. Больше не используется кэшированная копия политики IPsec.
5471Модуль PAStore Engine загрузил локального хранилища политики IPsec на компьютере.
5472Модулю PAStore Engine не удалось загрузить политику IPsec на компьютере локального хранилища.
5473Модуль PAStore Engine загрузил политику IPsec на компьютере хранилища каталога.
5474Модулю PAStore Engine не удалось загрузить каталог хранилища политики IPsec на компьютере.
5477Модулю PAStore Engine не удалось добавить фильтр быстрого режима.

Подкатегории: Изменение политики уровне правил MPSSVC

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4944Следующая политика была активна при запуске брандмауэра Windows.
4945Правила были перечислены при запуске брандмауэра Windows.
4946Изменение было внесено в список исключений брандмауэра Windows. Правило было добавлено.
4947Изменение было внесено в список исключений брандмауэра Windows. Правило было изменено.
4948Изменение было внесено в список исключений брандмауэра Windows. Правило было удалено.
4949Параметры брандмауэра Windows восстановлены значения по умолчанию.
4950Изменение настройки брандмауэра Windows.
4951Правило был пропущен, поскольку его основной номер версии не распознаются брандмауэра Windows.
4952Части правила были пропущены, так как его номер вспомогательной версии не распознаются брандмауэра Windows. Другие части правило будет применяться.
4953Правило было проигнорировано брандмауэром Windows, так как не удалось разобрать правило.
4954Были изменены параметры групповой политики брандмауэра Windows. Новые параметры будут применены.
4956Брандмауэр Windows был изменен активного профиля.
4957Брандмауэр Windows не применяет следующие правила:
4958Поскольку правило ссылаются элементы не настроено на этом компьютере брандмауэр Windows не применяет следующие правила:
5050При попытке программно отключить брандмауэр Windows, с помощью вызова интерфейса INetFwProfile.FirewallEnabled(FALSE) был отклонен, поскольку этот API не поддерживается системой Windows Vista. Скорее всего, это произошло из-за программы, которая несовместима с Windows Vista. Обратитесь к изготовителю программы Чтобы убедиться в том, что у вас есть версии Windows Vista совместимая программа.

Подкатегория: Другие события изменения политики

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4909Параметры локальной политики для TBS были изменены.
4910Параметры групповой политики для TBS были изменены.
5063Сделана попытка выполнить операцию поставщика служб шифрования.
5064Сделана попытка выполнить операцию контекст криптографии.
5065Предпринята попытка изменения контекст криптографии.
5066Сделана попытка выполнить операцию криптографические функции.
5067Предпринята попытка изменения функции шифрования.
5068Сделана попытка выполнить операцию поставщика криптографической функции.
5069Сделана попытка выполнить операцию свойство криптографические функции.
5070Предпринята попытка изменения свойства криптографические функции.
5447Фильтр платформы фильтрации Windows был изменен.
6144Политика безопасности в объектах групповой политики успешно применена.
6145Произошла одна или несколько ошибок при обработке политики безопасности в объекты групповой политики.

Подкатегории: Специальные подкатегории многоразового использования

Примечание Следующие события могут быть созданы любой диспетчер ресурсов при включенной подкатегории. Например следующее событие может быть создан диспетчером ресурсов реестра или диспетчером ресурсов файловой системы.
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4670Были изменены разрешения на объект.

Категория: Использование прав

Подкатегория: С учетом использования привилегий / прав с учетом использования

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4672Присвоение специальных прав для нового сеанса входа.
4673Привилегированная служба была вызвана.
4674Попытка выполнить операцию с привилегированным объектом.

Категория: системы

Подкатегории: Драйвер IPsec

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4960IPsec удалил входящих пакетов, не прошло проверку целостности. Если ошибка повторится, это показывает, что проблемы сети или пакеты, изменяются в пути к этому компьютеру. Убедитесь, что пакеты, отправленные с удаленного компьютера, отличается от получаемого данным компьютером. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec.
4961IPsec удалил входящих пакетов, ошибка при повторной проверке. Если неполадка продолжает возникать, он может означать атаки воспроизведения этого компьютера.
4962IPsec удалил входящих пакетов, ошибка при повторной проверке. Входящий пакет было слишком мало порядковый номер чтобы убедиться, что он не был воспроизведение.
4963IPsec удалил пакет входящих открытым текстом, который должен был быть зашифрован. Обычно это происходит из-за удаленного компьютера, изменив ее политику IPsec без уведомления этого компьютера. Это может быть также подделки попытки атаки.
4965IPsec получила пакет с удаленного компьютера с неправильный параметр индекса безопасности (SPI). Обычно это вызвано сбоями оборудования, повреждение пакетов. Если эти ошибки продолжают возникать, убедитесь, что пакеты, отправленные с удаленного компьютера, отличается от получаемого данным компьютером. Эта ошибка также может означать проблемы взаимодействия с другими реализациями IPsec. В этом случае если подключение не препятствовало, затем эти события можно игнорировать.
5478Службы IPsec успешно запущена.
5479Службы IPsec успешно завершена. Завершение работы службы IPsec может подвергнуть компьютер риску сетевой атаки или потенциальную угрозу безопасности компьютера.
5480Службам IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это создает угрозу безопасности, так как некоторые интерфейсы сети не может получить защита, обеспечиваемая фильтры IPsec. С помощью оснастки «Монитор IP-безопасности» в диагностике неполадки.
5483Службам IPsec не удалось инициализировать RPC-сервер. Не удается запустить службы IPsec.
5484Произошел серьезный сбой и завершения работы службы IPsec. Завершение работы службы IPsec может подвергнуть компьютер риску сетевой атаки или потенциальную угрозу безопасности компьютера.
5485Службам IPsec не удалось обработать некоторые из фильтров IPsec на событии plug-and-play для сетевых интерфейсов. Это создает угрозу безопасности, так как некоторые интерфейсы сети не может получить защита, обеспечиваемая фильтры IPsec. С помощью оснастки «Монитор IP-безопасности» в диагностике неполадки.

Подкатегория: Другие события системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
5024Служба брандмауэра Windows запущена успешно.
5025Служба брандмауэра Windows остановлена.
5027Служба брандмауэра Windows не удалось получить политику безопасности из локального хранилища. Служба будет продолжать использовать текущую политику.
5028Служба брандмауэра Windows не удалось обработать новую политику безопасности. Служба продолжит текущую принудительно примененную политику.
5029Служба брандмауэра Windows не удалось инициализировать драйвер. Служба будет продолжать использовать текущую политику.
5030Не удалось запустить службу брандмауэра Windows.
5032Брандмауэр Windows не удалось уведомить пользователя, что он заблокирован приложения принимать входящие подключения по сети.
5033Драйвер брандмауэра Windows запущена успешно.
5034Драйвер брандмауэра Windows остановлена.
5035Драйвер брандмауэра Windows не удалось запустить.
5037Драйвер брандмауэра Windows обнаружил критическую ошибку выполнения. Завершает работу.
5058Операция файл ключа.
5059Операции ключа миграции.

Подкатегория: Изменение состояния безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4608Запуск Windows.
4616Изменено системное время.
4621Администратор системы восстановлено CrashOnAuditFail. Пользователи, не являющиеся администраторами, теперь будет разрешен вход. Возможно, некоторые проверяемых действий не были записаны.

Подкатегория: Расширение системы безопасности

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4610Пакет проверки подлинности загружен с локальным администратором безопасности.
4611Процесс входа в систему надежных зарегистрирован с локальным администратором безопасности.
4614Пакет уведомлений загружен диспетчером учетных записей безопасности.
4622Пакет безопасности загружен с локальным администратором безопасности.
4697Служба была установлена в системе.

Подкатегории: Целостность системы

Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСообщение
4612Внутренние ресурсы, выделенные для очереди сообщений аудита исчерпаны, потеря некоторых результатов аудита.
4615Недопустимое использование порт LPC.
4618Шаблон безопасности наблюдаемых событий произошло.
4816RPC Обнаружено нарушение целостности при расшифровке входящего сообщения.
5038Целостность кода определил, что образ хэш файла не является допустимым. Файл может быть поврежден из-за несанкционированного изменения или недопустимый хэш-код может указывать на потенциальные ошибки устройства.
5056Криптографические самопроверки была выполнена.
5057Не удалось выполнить простые операции шифрования.
5060Операция проверки потерпела неудачу.
5061Криптографической операции.
5062Ядра криптографических самопроверку была выполнена.
Примечания
  • Для получения более подробного списка всех событий аудита и безопасности выполните следующую команду в командной строке с повышенными правами под учетной записью администратора:
    wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true
    В следующем примере показано части выходных данных:
    event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    Subject:
    	Security ID:		Security ID
    	Account Name:		Account Name
    Account Domain:	 Account Domain
    	Logon ID:		Logon ID
    Trusted Domain:
    	Domain Name:		Domain Name
    	Domain ID:		Domain ID
    Trust Information:
    	Trust Type:		Trust Type
    	Trust Direction:	Trust Direction
    	Trust Attributes:	Trust Attributes
    	SID Filtering:		SID Filtering
  • Чтобы получить список всех аудит безопасности категории и подкатегории, выполните следующую команду в командной строке с повышенными правами администратора:
    auditpol /list /subcategory:*

Ссылки

Для получения дополнительных сведений о средстве Wevtutil посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/Windowsserver2008/en/Library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Для получения дополнительных сведений о средстве Auditpol посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/Windowsserver2008/en/Library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true
Дополнительные сведения об использовании групповой политики для настройки подробных параметров аудита безопасности щелкните следующий номер статьи базы знаний Майкрософт:
921469Использование групповой политики для настройки подробных параметров аудита для компьютеров Windows Vista и Windows Server 2008 в домене Windows Server 2008, в домене Windows Server 2003 или в домене Windows 2000, безопасности
Дополнительные сведения о руководстве по безопасности Windows Vista посетите следующий веб-узел корпорации Майкрософт:
http://TechNet.Microsoft.com/en-US/bb629420.aspx

Свойства

Код статьи: 947226 - Последний отзыв: 23 декабря 2012 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 for Itanium-Based Systems
Ключевые слова: 
kbexpertiseadvanced kbinfo kbmt KB947226 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 947226

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com